KR20040013178A - 바이러스 메일 차단 방법 및 시스템 - Google Patents

바이러스 메일 차단 방법 및 시스템 Download PDF

Info

Publication number
KR20040013178A
KR20040013178A KR1020020045991A KR20020045991A KR20040013178A KR 20040013178 A KR20040013178 A KR 20040013178A KR 1020020045991 A KR1020020045991 A KR 1020020045991A KR 20020045991 A KR20020045991 A KR 20020045991A KR 20040013178 A KR20040013178 A KR 20040013178A
Authority
KR
South Korea
Prior art keywords
mail
virus
content
contents
separates
Prior art date
Application number
KR1020020045991A
Other languages
English (en)
Other versions
KR100496770B1 (ko
Inventor
황건순
Original Assignee
황건순
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 황건순 filed Critical 황건순
Priority to KR10-2002-0045991A priority Critical patent/KR100496770B1/ko
Publication of KR20040013178A publication Critical patent/KR20040013178A/ko
Application granted granted Critical
Publication of KR100496770B1 publication Critical patent/KR100496770B1/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/60Business processes related to postal services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Business, Economics & Management (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Virology (AREA)
  • Economics (AREA)
  • Human Resources & Organizations (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 인터넷 및 무선망 등과 같은 통신망을 통하여 전달되는 전자 메일에 의하여 유포되는 바이러스를 차단하기 위한 시스템 및 방법에 관한 것으로서, 메일의 본문을 분석하여 내용 중에 바이러스가 포함되어 있는 메일을 감지하여 별도의 바이러스 치료 프로그램이 없이도 바이러스 메일을 원천적으로 차단한다.

Description

바이러스 메일 차단 방법 및 시스템 {Virus email blocking algorithm and system}
본 발명은 바이러스 메일 차단 시스템 및 방법에 관한 것으로, 특히 유무선 통신망을 통해 발송되는 바이러스를 포함하고 있는 메일을 구별하여 사용자 컴퓨터의 바이러스 감염을 원천적으로 차단하기 위한 시스템 및 방법에 관한 것이다.
바이러스 메일이란, 이메일을 통하여 사용자의 컴퓨터를 감염시키는 바이러스 프로그램를 포함하고 있거나 이러한 전자 바이러스를 구동시키는 특정 코드를 포함하고 있는 메일을 의미한다. 예를 들어, 바이러스가 감염된 메일의 수신자가 메일을 열어 볼 경우 자동적으로 수신자 컴퓨터의 시스템이나 파일을 파괴하며 수신자의 주소록에 등록된 모든 이메일 계정으로 수신자 이름으로 감염된 메일을 자동으로 송신하는 형태의 바이러스가 이에 속하며, 최근 빠른 확산과 수신자의 컴퓨터 시스템이나 파일을 파괴하는 악성 바이러스가 속속 출현하고 있다. 따라서 이러한 바이러스로부터 수신자의 컴퓨터와 파일을 보호하기 위하여 다양한 메일 바이러스 검사 및 치료 프로그램이 출시되고 있다.
도 1은 종래 바이러스 백신 프로그램을 적용하는 방식의 바이러스 메일 치료 프로그램의 적용 개념도이다. 먼저 수신측의 메일 서버에 메일이 도착하게 되면(101) 바이러스를 치료하는 백신프로그램(102)을 구동하게 되고, 바이러스 포함 유무를 판단(103) 하여 바이러스를 포함하지 않으면 정상적으로 수신(104)하게 되고, 바이러스가 포함되어 있다면 바이러스를 치료하거나 삭제하는 바이러스 처리(105) 과정을 거치게 된다.
종래 방법으로는 바이러스 메일을 원천적으로 차단 또는 구분해 내는 것이 불가능한데, 바이러스 검사용 소프트웨어인 바이러스백신프로그램은 자체 데이터베이스를 이용하여 이미 알려져 있는 바이러스 패턴 만을 검사하기 때문에 항시 최신 데이터베이스를 사용하지 않으면 안되고, 최신 데이터베이스는 바이러스 감염이 보고되어 분석이 된 다음에 나오기 때문에 신종 바이러스를 포함하고 있는 메일의 경우에는 그 치료가 불가능하기 때문이다.
따라서, 상기 문제점을 해결하기 위하여 본 발명은 메일의 본문을 분석하여 바이러스를 포함하고 있는 이메일을 분석, 분리하고 차단하여 내어 수신자를 바이러스 감염으로부터 원천적으로 보호하는 방식과 시스템을 고안하고자 한다.
도 1 종래 바이러스 백신 프로그램 방식의 바이러스 메일 치료 프로세스 순서도
도 2 이메일을 구성하는 각 부분을 나타내는 구성도
도 3 본 발명에 따른 바이러스 메일 차단기의 동작 원리를 나타내는 순서도와 기능 구성도
도 4 바이러스 메일 차단기가 적용된 수신측의 메일 시스템 구성을 나타내는 블록도,
만일 바이러스를 포함하고 있는 메일에 반드시 포함되는 특정 패턴이 있고 이를 분석해 낼 수 있다면 바이러스 메일이 전송되어 올 때 해당 메일을 바이러스 메일로 분류하여 바이러스 치료 또는 삭제 또는 수신차단 함으로써 사용자의 컴퓨터와 파일을 바이러스로부터 보호할 수 있을 것이다.
도 2는 본 발명의 원리를 이해하기 위하여 제시하는 일반적인 이메일의 구성을 보여준다. 수신된 이메일(s200)을 부분으로 분석하면 크게 Header(s210)과 Body(s220)로 분리될 수 있으며, Body(s220)는 다시 Message Part(s221)와 여러 개의 Content(s223)를 보유한 Contents Part(s222)으로 나뉠 수 있으며, 메일에 따라서는 Contents Part(s222)가 존재하지 않을 경우도 있다.
전송된 메일 중에 포함된 Content(s223) 부분은 IETE(Internet Engineering Task Force)에서 규약하고 있는 RFC2392: Content-ID and Message-ID Uniform Resource Locator 규약에 의거하여 Content-Type의 name 정의와 Content-ID에 대한 정의가 포함되어 있을 수 있는 데, 모든 바이러스 메일에 포함된 Contents Part(s222) 중 바이러스 부분을 포함하고 있는 Content(s223)에는, Content-Type의 name 정의에 *.exe, *.bat, *.lnk, *.scr 등의 실행 가능한 확장자를 보유한 임의의 파일 이름이 포함되어 있으면서 동시에 Content-ID 값이 존재하는 조건을 만족시킨다. 따라서 이러한 조건은 어떤 종류의 바이러스 메일에 있어서도 동일하게 적용되는 것이므로 바로 이런 점이 바이러스 메일을 구분 지을 수 있는 특정 패턴이 된다.
바이러스 메일이 아니라 정상적으로 송신자가 발송한 메일이 상기한 조건을 적용하여 바이러스 메일로 분류될 수 있는 경우는 원천적으로 존재하지 않는다. 예를 들어, 송신자의 필요에 의하여 실행 가능한 파일이 첨부된 상태로 보낸 메일의 경우, 해당 메일에 포함된 첨부 파일 부분에 해당하는 Content(s223)부분에는 비록 Content-Type의 name 정의에 실행 가능한 확장자를 보유한 파일 이름이 포함되기는 하지만 Content-ID 값을 가지지 않는다. 또 다른 예로서 그림 파일 등을 첨부가 아닌 메일 내의 Content(s223)로 삽입하여 발송된 메일의 경우, 해당하는 Content(s223)부분에는 Content-ID 값이 존재하기는 하나 Content-Type의 name 정의가 존재하지 않거나 실행 가능한 확장자를 포함하고 있지 않다. 따라서 바로 상기한 두 개의 조건, 즉, Content-Type의 정의에 실행 가능한 확장자를 보유한 임의의 파일 이름이 포함되어 있는 가 그리고 Content-ID 값이 존재하는 가에 모두 적용되는 메일은 바로 바이러스 메일이라고 판단할 수 있다.
본 발명은 상기한 점을 발견하고 이에 근거하여 착안한 것으로서, 본 발명에 따른 바이러스 메일 차단 시스템은 수신자 측의 메일 서버에 수신된 이메일로부터 Header와 Body를 분리해 내는 Header/Body분리기, 분리된 Body로부터 Message와 Contents를 분리해 내는 Message/Contents분리기, Contents부분 중에서 file name 또는 name 항목이 있는 Content를 분리해 내는 세부Content추출기, Content-Type의 name 정의에 실행 가능한 확장자 문자를 포함하고 있는 지와 Content-ID 값이 존재하는 지를 검색하고 검사하는 바이러스탐지기, 검사된 메일을 정상적인 메일로 분류하여 수신자의 메일 수신을 허용하거나 바이러스에 감염된 메일로 분류하여 차단 또는 삭제시키는 메일처리기, 그리고 경우에 따라 외부에서 제공되는 바이러스백신프로그램을 포함한다. 본 발명의 바이러스 메일 차단 시스템은 바이러스탐지기의 요구에 따라 메일처리기가 바이러스 메일을 처리함으로써 이를 통한 사용자 컴퓨터 시스템 또는 파일의 바이러스 감염을 차단한다.
이하 본 발명의 원리와 실시 예를 첨부된 도면을 참조하여 더욱 상세히 설명한다.
도 3은 본 발명의 바람직한 실시 예에 따른 바이러스 메일 차단기의 동작원리와 기능모듈의 구성을 보여준다.
Header/Body분리기(310)는 수신측의 메일서버 또는 메일클라이언트(300)에 메일이 도착하게 되어 메일이 수신되었을 때 수신메일(301)의 Header와 Body를 분리(310)하는 기능을 함으로써 메일에 대한 분석을 시작한다.
Message/Contents분리기(320)은 분리되어 얻어진 Body 부분을 다시 Message Part와 Contents Part로 분리하는 기능(321)을 하고, 만일 Contents Part가 존재하게 되면 해당 Contents Part 부분을 세부Content추출기(330으로 전달해 주는 조건검사단계(322)를 포함하고 있다.
세부Content추출기(330)은 Contents Part안에 포함되어 있는 여러 개의 Content를 부분별로 분리하고 각 Content의 Content-Type 정의 부분과 Content-ID 정의 부분을 추출하여 낸다.
바이러스탐지기(340)는 추출된 각각의 세부 Content 정보에 포함되어 있는 Content-Type의 name 정의에 명기된 파일이름에 실행 가능한 확장자가 있는 지를 분석(341)하고 Content-ID 값의 존재 유무를 검사(342)하게 된다. 이 때 Content-Type의 name 정의에 실행가능 확장자를 가진 구문이 존재함과 동시에 Content ID가 존재하게 되면 해당 메일을 바이러스 메일로 판단하고, 이러한 정보를 메일처리기(360)으로 전달하여 해당 메일을 차단 또는 삭제하거나 포함되어 있는 바이러스를 치료하도록 한다. 바이러스탐지기(340)에서 감지하게 되는 실행 가능한 확장자는 윈도우 운영체제에서 실행파일의 확장자로 사용하는 .exe, .com, .bat, .lnk, .scr, .pif 등이 있으며 이 이외에도 각 운영체제마다 고유하게 사용하는 실행파일을 가리키는 특정 단어 또는 구문이다.
바이러스백신프로그램(a350)은 바이러스탐지기(340)에 포함된 두 개의 조건검사단계(341, 342)를 거친 이메일에 바이러스가 포함되어 있는 지를 검사하며, 바이러스를 검사(a351)하고 바이러스가 존재하는 지를 판단하여(a352) 메일의 수신을 허용할 것인지 또는 바이러스 메일로 판단하게 할 것인지의 정보를 메일처리기(360)으로 전달한다. 단, 바이러스백신프로그램(a350)은 이미 알려져 있는 바이러스 패턴과 치료방법을 담은 데이터베이스로서 반드시 본 발명의 바람직한 예에 포함되지 않을 수도 있다.
메일처리기(360)는 바이러스탐지기(340) 또는 바이러스백신프로그램(a350)으로부터 전달 받은 바이러스 존재 유무에 대한 정보에 따라 바이러스가 있는 경우에는 해당 메일을 수신자가 받아보지 못하도록 차단 또는 삭제(361)하고, 바이러스가 없는 경우에는 추가 조치 없이 수신측 메일서버 또는 메일클라이언트(300)에 수신을 허용하는 정보를 전달(362)하여 수신자가 정상적으로 메일을 확인할 수 있도록 허용하는 기능을 한다.
도 4는 본 발명의 바람직한 실시 예에 따른 바이러스메일차단기를 수신측의 메일서버 또는 수신자의 메일클라이언트에 적용된 바람직한 적용 예를 보여주는 블록도이다.
메일이 수신측의 메일 서버에 수신(500)되면, 수신측메일서버(410)은 새로운 메일이 도착하였음을 바이러스메일차단기(420)에 알림과 동시에 분석을 의뢰(411)하게 된다. 바이러스메일차단기(420)은 해당 메일의 내용을 분석하여 바이러스메일인지를 분류해 내게 되고, 바이러스메일로 판단될 경우에는 해당 메일을 삭제 또는 차단하는 처리(430)를 하고, 바이러스 메일로 판단되지 않을 경우에는 해당 메일을 다시 정상적으로 수신측메일서버(410)가 처리할 수 있도록 되돌려 준다(421). 이후 수신자가 사용하는 메일클라이언트(440)가 해당 메일을 불러오도록 수신측 메일서버(410)에 요청하게 될 때 POP3/IMAP/CGI 등의 프로토콜에 따라 메일클라이언트(440)에 메일이 전송되게 된다. 또한 이러한 바이러스메일차단기를 수신자의 메일클라이언트(440)에도 설치할 수 있는데, 이렇게 설치된 바이러스메일차단기(U411)은 메일서버(410)에 설치된 바이러스메일차단기(420)과 마찬가지의 기능을 메일클라이언트(440)에 바이러스 메일 차단 기능을 수행하게 된다. 이렇게 수신측의 메일서버(410)에 설치된 바이러스메일차단기(420) 또는 수신자의 메일클라이언트(440)에 설치된 바이러스메일차단기(U420)에 의하여 바이러스 메일이 제거된 메일리스트를 최종적으로 수신자가 확인(450)하게 된다.
이상과 같이 본 발명의 바람직한 실시예를 예시하여 설명하였으나, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 본 발명의 기술적 사상의 범위 내에서 상기한 실시예에 대한 다양한 변경이 가능함은 물론이다.
본 발명에 따르면 수신자의 컴퓨터 시스템과 파일을 감염시키는 의도로 배포되는 바이러스 메일을 원천적으로 차단하기 때문에 수신자는 바이러스 메일로부터 전혀 피해를 입지 않게 된다.

Claims (3)

  1. 유무선 통신망을 통하여 수신된 전자우편을 분석하여 Contents Part에서 단위 Content에 포함된 파일이 실행 가능한 형식으로 되어 있고 동시에 Content-ID가 존재하는 경우에 이를 바이러스 메일로 탐지해 내는 방식.
  2. 제1항과 같은 방식의 바이러스 메일 탐지 기능 또는 바이러스 검사 기능을 수행하는 다른 프로그램과 연결 되어 바이러스가 발견된 메일의 경우에는 바이러스 메일을 차단 또는 삭제하고 그렇지 않은 메일일 경우에는 수신을 허용하는 기능을 포함하는 메일 처리 방식.
  3. 제1항에서 실행 가능한 형식의 파일 이름을 검사하는 방법에서, exe, com, bat, lnk, scr, com, pif 등의 확장자를 검사하는 방식.
KR10-2002-0045991A 2002-08-03 2002-08-03 바이러스 메일 차단 방법 및 시스템 KR100496770B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0045991A KR100496770B1 (ko) 2002-08-03 2002-08-03 바이러스 메일 차단 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0045991A KR100496770B1 (ko) 2002-08-03 2002-08-03 바이러스 메일 차단 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20040013178A true KR20040013178A (ko) 2004-02-14
KR100496770B1 KR100496770B1 (ko) 2005-06-23

Family

ID=37320534

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0045991A KR100496770B1 (ko) 2002-08-03 2002-08-03 바이러스 메일 차단 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR100496770B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100743372B1 (ko) * 2005-07-04 2007-07-30 주식회사 안철수연구소 이메일의 첨부 파일에서 악성 코드 검출 방법 및 그 장치

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100896319B1 (ko) 2006-11-23 2009-05-07 한국전자통신연구원 실행 프로그램의 실행 압축 유무 탐지 장치 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100743372B1 (ko) * 2005-07-04 2007-07-30 주식회사 안철수연구소 이메일의 첨부 파일에서 악성 코드 검출 방법 및 그 장치

Also Published As

Publication number Publication date
KR100496770B1 (ko) 2005-06-23

Similar Documents

Publication Publication Date Title
US20020004908A1 (en) Electronic mail message anti-virus system and method
US10084801B2 (en) Time zero classification of messages
US10069851B2 (en) Managing infectious forwarded messages
EP1385303B1 (en) Method and device for preventing malicious computer code from propagating
US7664754B2 (en) Method of, and system for, heuristically detecting viruses in executable code
EP1959367B1 (en) Automatic extraction of signatures for Malware
EP1299791B1 (en) Method of and system for processing email
US6851058B1 (en) Priority-based virus scanning with priorities based at least in part on heuristic prediction of scanning risk
AU2004235515B2 (en) A method of, and system for, heuristically determining that an unknown file is harmless by using traffic heuristics
GB2432933A (en) Network security apparatus which extracts a data stream from network traffic and performs an initial operation on the data before scanning for viruses.
US20090307769A1 (en) Method and apparatus for providing network security
JP3724146B2 (ja) コンピュータ及びコンピュータウィルス対抗方法並びにコンピュータウィルス対抗プログラムが記録された記録媒体
KR100496770B1 (ko) 바이러스 메일 차단 방법 및 시스템
US20200097655A1 (en) Time zero classification of messages

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
N231 Notification of change of applicant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130614

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20140613

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20160812

Year of fee payment: 12

LAPS Lapse due to unpaid annual fee